Vad är ISO 27001?
Vi tar det från början, ISO 27001 är en internationell ledningssystemstandard för informationssäkerhet. Ett ledningssystem för informationssäkerhet hjälper organisationer att skapa en bättre struktur i sitt dataskyddsarbete. Vilket underlättar i en tid där företag möts av dataskyddskrav från både myndigheter, kunder, medarbetare och ägare.
I takt med att samhället digitaliseras ökar också riskerna för att konfidentiella uppgifter blir stulna, sprids till felaktiga källor eller skadas. För att stärka upp sin informationssäkerhet väljer allt fler företag därför att certifiera sig med ISO 27001.
Fler affärer med ökad konkurrenskraft
Kunder ställer idag större krav på sina leverantörers informationssäkerhet. Genom att certifiera företaget med ISO 27001 sätter ni en kvalitetsstämpel på er informationshantering. Med ett ledningssystem blir det lättare att redovisa utåt vad ni gör för att skydda era informationstillgångar – vilket både kommer hjälpa er att bibehålla förtroendet hos befintliga kunder och bygga nya kundrelationer.
När det kommer till upphandlingar innebär det stora fördelar att vara certifierade med ISO 27001, då det ger er ökad konkurrenskraft mot branschkollegor. I många upphandlingar ställer kunden idag krav på att leverantören ska ha ett godkänt ledningssystem för informationssäkerhet. ISO 27001 är dessutom en internationell standard som är känd över hela världen, vilket kan bidra med extra stöd till företag som vill växa globalt.
Bättre lagefterlevnad = minskad risk för sanktionsavgifter
Företag har en rad olika krav att leva upp till när det kommer till informationssäkerhet – och med ISO 27001 blir det lite lättare att hålla koll på lagefterlevnaden. Dataöverträdelser kan kosta företag dyra summor, vilket gör det viktigt att få informationshanteringen under kontroll. ISO 27001 kan också minska behovet av revisioner, eftersom ni med hjälp av ledningssystemet kan visa att ni lever upp till en globalt accepterad säkerhetsstandard.
Det blir också lättare att få överblick på arbetet med GDPR, vilket minskar riskerna för ytterligare sanktionsavgifter. Men det är inte bara ekonomin som kan få sig en smäll om lagefterlevnaden blir lidande, utan såklart också företagets rykte, individer och samhället i sig. Därför är det viktigt att sätta hög prioritet på informationssäkerhetsarbetet – och kanske överväga den där ISO-certifieringen om den inte redan finns på plats.
Avslutningsvis – några av fördelarna med ISO 27001:
- Ger företaget en standardiserad arbetsprocess som underlättar för att utveckla informationssäkerheten löpande
- Skyddar effektivt företagets informationstillgångar
- Minskar behovet av revisioner
- Minskar risker för ekonomiska följder av säkerhetsöverträdelser
- Underlättar lagefterlevnad
- En internationellt erkänd standard som ökar konkurrenskraften i upphandlingar
- Ökar förtroendet hos kunder och övriga intressenter
Lästips: 3 anledningar att komma igång med ISO 27001
Saker företag missar i informationssäkerhetsarbetet
Det är lätt hänt att informationssäkerheten enbart behandlas som en teknisk fråga – och att man helt missar att göra den till en del av bolagsstyrningen. Men faktum är att det krävs mer än bara en informationssäkerhetsplan för att säkerställa ett komplett dataskydd. Det blir inte mycket gjort om styrningen pekar åt ett håll och informationssäkerhetsplanen åt ett annat. Båda delarna behöver samverka för att resultatet ska bli effektivt och långsiktigt.
Det glöms ibland bort att informationssäkerhetsrelaterade problem faktiskt är ledningens ansvar. I slutändan är det ledningen som är ansvarig för att säkerställa att företagets informationstillgångar är skyddade. Det är också ledningen som själv kan bli personligt ansvarig vid säkerhetsöverträdelser.
Basera informationssäkerhetsplanen på identifierade risker
För att informationsplanen ska bli korrekt är det viktigt att utgå ifrån de potentiella hoten för just ditt företag – och de specifika informationstillgångarna som ska skyddas. Därför är det viktigt att först identifiera företagets risker, så att ni inte lägger pengar och resurser på att förebygga hot som är irrelevanta.
Tänk på att ni ska kunna motivera alla åtgärder i informationsplanen med konkreta fakta. Mot vilka risker ska era informationstillgångar skyddas? Vilka åtgärder kommer ge det bästa skyddet mot riskerna? Genom att till exempel göra en riskanalys kan ni identifiera de hot som är mest relevanta.
Utnyttja bästa praxis för informationssäkerhet
Många företag har liknande hot, risker och åtgärder för informationssäkerhet. Därför kan det vara en bra idé att ta lärdom av andra organisationers erfarenheter. Det finns massor av beprövade metoder att ta del av – och exempel på hur liknande företag har implementerat dem i sin verksamhet.
Så ta gärna hjälp av bästa praxis när du gör din egen riskanalys, så undviker du att uppfinna hjulet om och om igen. Även om det är viktigt att anpassa riskanalysen efter ditt företags specifika utmaningar, skadar det inte att utvärdera de lösningar som andra organisationer haft lyckade resultat med före dig.
Göra användarna medvetna om informationssäkerheten
Ett misstag många företag gör är att inte informera användarna, det vill säga medarbetarna som hanterar till exempel personuppgifter, om riskerna. Har dina medarbetare till exempel koll på vilka policys ni har för informationssäkerhet?
Användarna kan också hållas ansvariga vid eventuell säkerhetsöverträdelse, så det är viktigt att de får veta hur deras roll påverkar företagets dataskydd. Utbilda därför din personal i informationssäkerhet och säkerställ att de får den information de behöver för att kunna göra sitt jobb på ett säkert sätt.
Ge informationssäkerhetschefer rätt stöd och verktyg
Det händer att ledningen utser en informationssäkerhetschef och förväntar sig att personen själv ska hantera företagets dataskydd. Men eftersom informationssäkerhet är ett komplext ämne räcker detta sällan, utan det behövs ytterligare verktyg.
Att implementera en informationssäkerhetsplan kräver bland annat stöd från ledningen, engagemang från medarbetare och rätt infrastruktur. En informationssäkerhetschef som inte får rätt förutsättningar kan inte göra sitt jobb ordentligt, vilket gör företaget sårbart för allvarliga risker.
Överväg gärna att göra mer än en person ansvarig för informationssäkerheten och ha regelbundna avstämningar där ni diskuterar vilka verktyg som behövs för att arbetet ska ge resultat.
Varför ISO 27001?
Idag ställer de flesta kunder krav på leverantörens informationssäkerhet. Genom att ha ett ledningssystem på plats blir det lättare att redovisa vad ni gör för att skydda era informationstillgångar. Det är en tydlig kvalitetsstämpel utåt att kunna hänvisa till ISO 27001 när en kund ställer frågor om er informationshantering.
På samma gång sänder ni en signal mot kunder och övriga intressenter när ni talar om att ni följer best practise enligt ISO 27001. I vissa upphandlingar är ISO 27001 ett krav, vilket kan ge er fördelar gentemot branschkollegor.
Ett strukturerat informationssäkerhetsarbete kan också hjälpa till att skydda företagets goda rykte, eftersom det förebygger säkerhetsöverträdelser som kan leda till att ni tappar både förtroende och kunder. Antalet cyberhot ökar varje dag och kan leda till förödande konsekvenser för företaget – både när det kommer till ryktet och ekonomin.
Krav från myndigheter – lagefterlevnad
ISO 27001 hjälper er också att efterleva lagar, regler och avtal. Myndigheterna reglerar idag en rad olika affärsområden med specifika krav på informationssäkerhet. Att inte ha ett strukturerat informationssäkerhetsarbete kan idag kosta företag dyrt, då dataöverträdelser leder till större ekonomiska konsekvenser än tidigare.
Med ett ledningssystem blir det lättare att hålla koll på lagefterlevnaden och det kan även förenkla revisionen. ISO 27001 visar att ert företag når upp till en globalt accepterad säkerhetsstandard, vilket minskar behovet av revisioner. ISO-standarden underlättar även för arbetet med GDPR. Brott mot dataskyddsförordningen kan leda till stora sanktionsavgifter (upp till flera miljoner eller 2 % av företagets globala årsomsättning).
Brister i hanteringen av känslig information kan också leda till läckor som får allvarliga konsekvenser, inte bara för företaget i sig utan även för individer eller samhället som helhet. För att undvika detta är det viktigt att efterleva myndigheternas regler och prioritera informationssäkerhetsarbetet.
Tydlig översikt – bättre utvecklingsmöjligheter
ISO 27001 hjälper er att skapa ett gemensamt och strukturerat arbetssätt för företagets informationssäkerhetsinsatser. Det blir tydligt för hela verksamheten (och externa intressenter) vilka processer som finns på plats och vad som kan förbättras.
När ni har allt arbete samlat i ett arbetssätt blir det också lättare att föra diskussioner angående informationssäkerheten, där hela verksamheten får vara med och komma med förbättringsförslag. Det kommer ge er bättre översikt och koll på helheten, dessutom får ni lättare att förstå varandra. När ni jobbar i ett gemensamt arbetssätt kan ni tillsammans utveckla verksamheten vidare för att höja säkerhetsnivån ytterligare.
ISO 27001 hjälper er skapa ett systematiskt tänkande kring risk och struktur på er informationshantering – områden som annars lätt halkar efter.
Välja verktyg för ISO 27001
Det är viktigt att tänka långsiktigt när ni väljer verktyg – är det möjligt att anpassa funktionaliteten över tid? Ni ska aldrig behöva känna er helt låsta i ert arbetssätt på grund av verktygets begränsningar. Men det behöver inte alltid betyda att ni måste utveckla ett eget system eller välja en skräddarsydd lösning. Ett standardiserat verktyg kan i vissa fall vara minst lika anpassningsbart.
Huvudsaken är att ni tar reda på vad det finns för utvecklingspotential i förhand – och väljer en leverantör som har möjlighet att löpande uppdatera verktyget. Så att ni långsiktigt kan utvecklas i takt med omvärlden och resterande aktörer på marknader. Den funktionalitet ni behöver idag behöver inte nödvändigtvis vara aktuell några år framåt.
Ta gärna en extra funderare kring vilka funktioner som är viktiga för just ert företag, både idag och i framtiden. Vad behöver ni ha på plats för att kunna hantera ert informationssäkerhetsarbete på ett strukturerat sätt?
Hur tillgängligt är verktyget?
En framgångsfaktor för att lyckas med ISO 27001 är att hela verksamheten är engagerade i arbetet. Det är viktigt att ni har ett gemensamt arbetssätt, där alla har möjlighet att delta med samma förutsättningar. Att investera i ett molnbaserat verktyg kan vara ett sätt att öka tillgängligheten i verksamheten – så att alla medarbetare kan driva informationssäkerhetsarbetet framåt oavsett var de befinner sig.
Idag blir det allt vanligare att jobba på distans av olika anledningar, vilket också ökar kraven på tillgänglighet. Kanske är det också så att ert företag har kontor i olika städer eller länder? Då blir ett molnbaserat system nästan ett måste.
För organisationer som jobbar uteslutande med verktyg som Officepaketet, kan det bli svårare att skapa ett gemensamt arbetssätt mellan kollegor på distans. Excel kan till exempel vara ett jättebra verktyg för analys, men mindre bra för kommunikation, förbättringsarbete och gemensamma processer. Vad har ni för behov när det kommer till tillgänglighet?
Vad har ni för målsättning?
Innan ni investerar i ett verktyg är det viktigt att ni har definierat målet med ert informationssäkerhetsarbete. Vad hoppas ni få för resultat av verktyget? Det gäller att ni är konkreta när ni tar fram målbilden, så att ni kan förklara för leverantören vad ni förväntar er av verktyget.
Gör en ordentlig kartläggning av verksamhetens behov innan ni börjar leta efter ett verktyg – så att ni vet vad ni ska leta efter. I dialog med olika leverantörer är det viktigt att ni lyfter fram vad som är viktigast för just ert företag. Vilka problem eller utmaningar hoppas ni att verktyget ska lösa?
Lästips: Hitta rätt system för ert informationssäkerhetsarbete
